Hoewel een grootschalige hack gericht op JavaScript-crypto-afhankelijkheden grote schade had kunnen aanrichten, is deze mislukt. In totaal is amper 500 dollar gestolen.
Deze hack gericht op JavaScript-crypto-afhankelijkheden mislukt
Maandagavond waarschuwden we voor een kwetsbaarheid met een aanzienlijk schadepotentieel, aangezien grootschalige misbruik veel crypto-wallets in gevaar had kunnen brengen. Kort gezegd was de aanval gericht op het account van een ontwikkelaar op de JavaScript-pakketbeheerder NPM.
Aangezien deze ontwikkelaar veel volgers heeft, zouden er meer dan een miljard downloads van frauduleuze programma’s zijn uitgevoerd, waardoor de aanvallers in theorie de mogelijkheid hadden om geld te verduisteren door adressen te vervalsen op applicaties die gebruikmaken van deze pakketten.
Toch heeft deze zaak meer angst dan schade veroorzaakt, aangezien uit de gegevens van Arkham blijkt dat er in totaal slechts 500 dollar zou zijn gestolen:
Op X legt Charles Guillemet, technisch directeur van Ledger, uit dat de fouten van de aanvaller ervoor hebben gezorgd dat de aanval snel werd ontdekt. Hij waarschuwt echter voor dit soort bedreigingen, die niet lichtvaardig moeten worden opgevat:
Dit is echter een duidelijke herinnering: als uw geld is opgeslagen in een softwareportemonnee of op een handelsplatform, bent u slechts één uitvoering van code verwijderd van een totaal verlies. Compromittering van de toeleveringsketen blijft een krachtige vector voor de verspreiding van malware, en we zien ook steeds meer gerichte aanvallen. Hardwareportemonnees zijn ontworpen om deze bedreigingen te weerstaan. Met functies zoals clear signing kunt u precies bevestigen wat er gebeurt, en transactietests signaleren verdachte activiteiten voordat het te laat is. Het directe gevaar is misschien geweken, maar de dreiging blijft bestaan.
Verschillende walletontwikkelaars, waaronder MetaMask en OKX Wallet, hebben verklaard dat hun applicatie veilig blijft.
